Si 2025 a été l’année où les attaques contre la supply chain ont fait les gros titres, 2026 pourrait bien être celle où elles deviendront la norme d’après Damien Gbiorczyk, le responsable régional senior des ventes pour l’Europe du Sud chez Illumio.
Les attaquants ont désormais bien compris qu’en ciblant un fournisseur tiers de confiance, ils peuvent paralyser non pas une, mais des dizaines d’entreprises à la fois. En effet, les attaques par la chaîne d’approvisionnement permettent de compromettre par rebond les organisations clientes d’un prestataire commun ou utilisant un même logiciel ou équipement*.
Plutôt que de forcer un accès, il suffit parfois de s’infiltrer via un partenaire disposant déjà d’une autorisation légitime. Cette réalité exige une refonte profonde de la façon dont les organisations évaluent et gouvernent les relations avec leurs fournisseurs. La résilience ne peut plus reposer sur la seule confiance : elle doit s’appuyer sur une visibilité partagée et une responsabilité conjointe.
Vers une externalisation raisonnée : responsabilité partagée
Beaucoup d’entreprises ont longtemps considéré que sous-traiter permettait non seulement de déléguer des missions, mais aussi d’atténuer certains risques. Or, les événements récents démontrent que cette illusion est dangereuse. Lorsqu’un prestataire critique est compromis, ce n’est pas lui seul qui souffre : les clients le sont aussi. Il est temps d’admettre que l’on ne peut pas externaliser la responsabilité.
En France, cette prise de conscience est d’autant plus urgente, 98 % des 100 plus grandes entreprises françaises ont été exposées à au moins une compromission de tiers au cours des 12 derniers mois**. Autrement dit, presque toutes les entreprises majeures en France ont des failles via leur écosystème de fournisseurs.
Cette réalité implique de transformer les partenariats : eux aussi doivent devenir des piliers de sécurité. Il ne s’agit pas de faire des audits ponctuels, mais d’instaurer une culture de vérification continue, de transparence et de redevabilité – non seulement de la part des grandes entreprises, mais aussi des fournisseurs.
La cible change : vers la chaîne d’approvisionnement de services
Les cybercriminels ne visent plus seulement les éditeurs de logiciels ou les fabricants de matériel : leur attention se tourne de plus en plus vers les prestataires de services. Ces derniers, bien que critiques, peuvent être moins bien protégés que leurs clients : ils disposent souvent d’un accès aux systèmes sensibles des entreprises clientes, tout en n’appliquant pas toujours des normes de sécurité très strictes.
Cette configuration constitue un point de défaillance unique que les attaquants exploitent avec efficacité et rentabilité.
Plusieurs incidents récents illustrent cette menace bien réelle en France. En aout 2025, Air France et KLM ont confirmé qu’une attaque via un prestataire tiers de leur centre de contact avait entraîné le vol de certaines données clients (noms, coordonnées, numéros de fidélité…), pointant une fragilité dans la chaîne d’approvisionnement des services.
La menace n’est pas théorique : elle est bien ancrée dans le tissu économique français.
Repenser la posture de sécurité
Face à ces évolutions, les entreprises ne peuvent plus se reposer sur des approches statiques de la confiance. Il est impératif de migrer vers un modèle de vérification continue : chaque accès, chaque connexion, chaque flux doit être considéré comme un risque potentiel. Ce n’est pas seulement une question de technologie : c’est un changement de paradigme dans la gouvernance des tiers.
Les organisations qui réussiront en 2026
Les entreprises qui tireront le meilleur parti de cette transition seront celles qui intègrent la gestion des risques tiers comme un enjeu stratégique, pas seulement opérationnel, qui exigent de la transparence de la part de ses fournisseurs et instaurent des mécanismes de redevabilité, qui adoptent des architectures et des politiques Zero Trust pour limiter la portée des compromissions potentielles, qui mesurent et testent leur résilience à travers des scénarios d’attaque sur la chaîne d’approvisionnement, plutôt que via des audits standards.
La tempête de la chaîne d’approvisionnement n’est pas un phénomène passager : elle marque le début d’une ère où la résilience inter-entreprises sera un différenciateur majeur. En France comme ailleurs, la sécurité ne se délègue pas, elle se co-construit, dans la vigilance et la responsabilité partagée.
* Panorama de la Cybermenace 2024 de l’ANSSI
** Rapport 2025 sur la cybersécurité en France de SecurityScorecard
